日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
應(yīng)用程序安全策略:隨著DevOps的崛起,可能需要重新審視

過去六年來,我一直在從事Veracode的項目管理工作。在那段時間里,我了解到很多部署AppSec策略的不同方法。通常,安全團隊(CISO / CIO領(lǐng)導)部署適用于開發(fā)人員和工程師的AppSec策略。然而,隨著軟件開發(fā)和發(fā)布方式的迅速變化,幾年前部署的大多數(shù)安全策略已不再為開發(fā)社區(qū)所接受。當我們沒有快速,自動化的安全工具可以插入SDLC時,許多應(yīng)用程序安全策略就建立起來了?,F(xiàn)在,隨著團隊轉(zhuǎn)移到DevOps和CI / CD,現(xiàn)在比以往任何時候都更重要的是重新制定新的策略,這些策略與開發(fā)人員“快速獲得良好代碼”目標相一致,而不是違反。

創(chuàng)新互聯(lián)公司專注于徐水企業(yè)網(wǎng)站建設(shè),自適應(yīng)網(wǎng)站建設(shè),商城網(wǎng)站定制開發(fā)。徐水網(wǎng)站建設(shè)公司,為徐水等地區(qū)提供建站服務(wù)。全流程按需定制制作,專業(yè)設(shè)計,全程項目跟蹤,創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

基于多年來的工作經(jīng)驗,我整理了一些在調(diào)整應(yīng)用程序安全策略時需要考慮的事項,具體如下:

首先實施可實行的政策

如果***引入安全性或***執(zhí)行安全性,那么首先要制定一些可實現(xiàn)的政策標準。不要讓一個從未做過安全措施的團隊嘗試滿足PCI或所有OWASP要求;因為他們肯定無法滿足,并在開始之前放棄。

從一個簡單的政策開始:沒有高或非常高的關(guān)鍵缺陷。隨著時間的推移,開發(fā)人員在日常工作中采用安全措施將會變得更加嚴格。

不僅僅包含不允許的缺陷類型

一定要包含靜態(tài)、動態(tài)、組合分析等類型的評估。此外,他們需要多長時間才能解決找到的問題?根據(jù)缺陷的臨界點增加寬限期,即需要在五天內(nèi)確定非常嚴重的缺陷;中等嚴重缺陷需要在15天內(nèi)修復(fù);低臨界缺陷不需要固定期限。

另外,增加頻率和階段的要求。他們多長時間需要掃描一次,以及在哪個發(fā)展階段?這與所需的評估類型是一致的。如果要在DevOps中占有一席之地,安全性必須越來越多地向左移動。

正確把控你的政策

開發(fā)團隊的發(fā)布速度越來越快,在保證速度同時,還需要保證策略與開發(fā)人員在開發(fā)周期中使用的安全工具及解決方案保持一致。例如:不要求每次發(fā)布或在發(fā)布周期結(jié)束時進行測試。在發(fā)布過程之外,將此類要求更改為季度。在每日發(fā)布周期中包含像靜態(tài)一樣的自動化測試。另外,并非所有的應(yīng)用程序都是平等的,所以你需要為不同的應(yīng)用程序創(chuàng)建不同的需求。例如:具有IP的應(yīng)用程序是面向公眾的,具有第三方組件可能需要修復(fù)所有中等到非常嚴重的缺陷,單頁臨時營銷網(wǎng)站可能只需要修復(fù)高/非常高的缺陷。

治理

擁有應(yīng)用程序安全策略絕對是***做法,但如果沒有治理,它也是無用的。要保證跟蹤政策依從性(現(xiàn)在許多工具都內(nèi)置了可以報告的策略管理器)是安全的。

此外,如果政策一直失敗,安全需要與發(fā)展合作,并進行團隊培訓,如:由講師指導的培訓,研討會,網(wǎng)絡(luò)研討會,電子教學,捕捉旗幟活動。

關(guān)鍵要點

?開發(fā)環(huán)境正在發(fā)生變化,確保您的安全策略與他們一起工作,而不是針對他們。

?安全策略需要成為“不判斷區(qū)”。使用它們來幫助教育開發(fā)團隊,了解他們正在努力的方向而不是批評他們的失敗。

?不要嚴格。首先制定策略,然后提升團隊成員構(gòu)建安全代碼的negligence,并隨著時間的推移提供相應(yīng)的培訓,從而讓他們的能力變得更強。

作者:Pejman Pourmousa

原文地址:https://dzone.com/articles/application-security-policy-might-need-to-revisit

【譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為.com】


網(wǎng)站欄目:應(yīng)用程序安全策略:隨著DevOps的崛起,可能需要重新審視
網(wǎng)站鏈接:http://www.5511xx.com/article/dhjojjg.html